Fehler bei SSL Verbindung (gelöst) (Netzwerkprogrammierung und Netzwerke mit Perl)

[thread]20256[/thread]

Fehler bei SSL Verbindung [gelöst]

Tags: perl5 LWP IO::Socket::SSL Net::SSLeay Ähnliche Threads

Leser: 17

Articles: hide open all | hide show old branches

+14 replies
Gast Rolf Schaufelberger

2017-03-20 08:50
Hallo,

ich bekomme beim Zugriff auf eine REST Interface die folgende Fehlermeldung:

DEBUG: .../IO/Socket/SSL.pm:2805: new ctx 169563920 DEBUG: .../IO/Socket/SSL.pm:659: socket not yet connected DEBUG: .../IO/Socket/SSL.pm:661: socket connected DEBUG: .../IO/Socket/SSL.pm:684: ssl handshake not started DEBUG: .../IO/Socket/SSL.pm:726: not using SNI because openssl is too old DEBUG: .../IO/Socket/SSL.pm:773: set socket to non-blocking to enforce timeout=180 DEBUG: .../IO/Socket/SSL.pm:786: call Net::SSLeay::connect DEBUG: .../IO/Socket/SSL.pm:789: done Net::SSLeay::connect -> -1 DEBUG: .../IO/Socket/SSL.pm:799: ssl handshake in progress DEBUG: .../IO/Socket/SSL.pm:809: waiting for fd to become ready: SSL wants a read first DEBUG: .../IO/Socket/SSL.pm:829: socket ready, retrying connect DEBUG: .../IO/Socket/SSL.pm:786: call Net::SSLeay::connect DEBUG: .../IO/Socket/SSL.pm:789: done Net::SSLeay::connect -> -1 DEBUG: .../IO/Socket/SSL.pm:792: SSL connect attempt failed DEBUG: .../IO/Socket/SSL.pm:792: local error: SSL connect attempt failed error:14077438:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert internal error DEBUG: .../IO/Socket/SSL.pm:795: fatal SSL error: SSL connect attempt failed error:14077438:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert internal error DEBUG: ...14.2/Net/HTTPS.pm:69: ignoring less severe local error 'IO::Socket::IP configuration failed', keep 'SSL connect attempt failed error:14077438:SSL routines:SSL23_GET_SERVER_HELLO:tlsv1 alert internal error' DEBUG: .../IO/Socket/SSL.pm:2827: free ctx 169563920 open=169563920 DEBUG: .../IO/Socket/SSL.pm:2838: OK free ctx 169563920

Die Umgebung ist:

$ openssl version OpenSSL 0.9.8k 25 Mar 2009

(Leider lässt sich das nicht aktualisieren!)

$perl -MLWP::Protocol::https -E 'say "$LWP::Protocol::https::VERSION"' 6.07 $ perl -MIO::Socket::SSL -E' say "$IO::Socket::SSL::VERSION"' 2.047 $ perl -MNet::SSLeay -E 'say "$Net::SSLeay::VERSION"' 1.80

Das Skript lässt sich reduzieren auf:
Code (perl): (dl )

1 2 3 4 5 6 7 8 9 10 11 12

use LWP::UserAgent; use HTTP::Request; my $json= '{" ..."}'; my $uri = "https://someurl/"; my $req = HTTP::Request->new( 'POST', $uri ); $req->header( 'Content-Type' => 'application/json' ); $req->header( 'Authorization' => 'bla bla' ); $req->content( $json ); my $ua = LWP::UserAgent->new(ssl_opts => { verify_hostname => 0 }); $ua->request($req);
Der Server verwendet folgendes Verfahren:
The connection to this site is encrypted and authenticated using a strong protocol (TLS 1.2), a strong key exchange (ECDHE_RSA with P-256), and a strong cipher (AES_128_GCM).

Der sinngemäß gleiche Request mit curl funktioniert, ebenso funktioniert der Request mit openssl 1.0.1f von einem anderen Server aus und er funktioniert auch zu einem anderen Server, der das folgende Verfahren verwendet:

The connection to this site uses an obsolete protocol (TLS 1.0), an obsolete key exchange (RSA), and an obsolete cipher (AES_128_CBC with HMAC-SHA1).

Es muss also damit zu tun haben, die Frage ist nur, was genau und wie kann ich das beeinflussen?

Rolf Schaufelberger

modedit Editiert von GwenDragon: Formatiert
Last edited: 2017-03-20 09:34:58 +0100 (CET)
- +3 replies
- GwenDragon
  
  2017-03-20 10:05
  
  User since
  2005-01-17
  14746 Artikel
  Admin1
  
  Wenn das Perl mit einem alten OpenSSL kompiliert wurde, kann Perl vielleicht damit kein ECDHE-Chiffren.
  Wenn du den Debuglevel auf 2 oder 3 erhöhst, was zeigen dann die Debugmeldungen IO::Socket::SSL?
  Last edited: 2017-03-20 10:16:20 +0100 (CET)
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
  - Gast Rolf Schaufelberger
    
    2017-03-20 12:20
    
    Das was da steht, das ist schon Level3
    Last edited: 2017-03-20 12:37:52 +0100 (CET)
  - Gast Rolf Schaufelberger
    
    2017-03-20 12:25
    
    2017-03-20T09:05:43 GwenDragon
    Wenn das Perl mit einem alten OpenSSL kompiliert wurde, kann Perl vielleicht damit kein ECDHE-Chiffren.
    Wenn du den Debuglevel auf 2 oder 3 erhöhst, was zeigen dann die Debugmeldungen IO::Socket::SSL?
    
    ja, das Thema ECDH habe ich beim googeln auch mal gefunden. ich bin aber davon ausgegangen, dass die beiden Parteien hier aushandeln, was sie beherrschen. Und mit curl funktioniert es ja, und beide, sowohl curl aus Net::SSLeay sind gegen openssl-098 bzw lybcrypt-098 gelinkt. Also sollten die benötigten cipher-Verfahren eigentlich da sein.
    Rolf
    Last edited: 2017-03-20 12:37:44 +0100 (CET)
- +3 replies
- GwenDragon
  
  2017-03-20 12:44
  
  User since
  2005-01-17
  14746 Artikel
  Admin1
  
  Wo es hakt weiß ich nicht. Die SSL-Module bei Perl sind für mich immer sehr kryptisch gewesen.
  
  Ich hatte auch schon mal Probleme mit SSL bei einem Perl, da habe ich die diesbezüglichen Perl-Pakete des OS neu installiert und von cpan die aktuellen geholt und neu installiert.
  
  Und hast du mal probiert Net::SSLGlue zu installieren?
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
  - +2 replies
  - Gast Rolf Schaufelberger
    
    2017-03-20 14:22
    
    Nein,
    nicht noch mehr Module. soweit ich der Beschreibung entnehmen kann, bringt das hier auch nichts, mit IO::Socket:SSL und Net::SSLeay ist ja SSL hier "vorhanden".
    Mein momentaner Verdacht richtet sich auf TLSv1.2, das von openssl-0.98 nicht unterstützt wird. Die Frage ist dann aber, warum klappt's mit curl ?
    
    Rolf
    Last edited: 2017-03-20 14:24:15 +0100 (CET)
    - GwenDragon
      
      2017-03-20 15:07
      
      User since
      2005-01-17
      14746 Artikel
      Admin1
      
      ich weiß ja nicht wie der Server Protokoll und Chiffren bevorzugt aushandelt.
      
      ich kann mit TLS 1.2 und den genannten Modul-Versionen auf meinen Server verbinden.
      die Drachin Gwen
      
      Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
- rosti
  
  2017-03-20 18:45
  
  User since
  2011-03-19
  3471 Artikel
  BenutzerIn
  
  Crypt::SSLeay installieren?
- +3 replies
- Linuxer
  
  2017-03-20 21:10
  User since
  2006-01-27
  3890 Artikel
  HausmeisterIn
  Hi,
  
  dein Testbeispiel funktioniert bei mir sowohl auf einem Windows als auch einem Linux.
  
  Aber ich denke, Du hast Dir die Antwort mit der genannten TLS-Version schon selber gegeben.
  
  Schau Dir mal die Antworten dort an:
  
  http://stackoverflow.com/questions/27430158/how-to...
  
  Laut der ersten Antwort wurde TLSv1.2 erst mit openssl-1.0.1 eingebaut.
  Und die zweite Antwort zeigt eine Kommando-Kette, mit der man nachschauen könnte, was das eigene openssl unterstützt.
  
  Mal bei mir ausprobiert:
  
  Code: (dl )
  
  1 2 3 4 5
  
  $ openssl ciphers -v | awk '{print $2}' | sort | uniq SSLv3 TLSv1.2 $ openssl version OpenSSL 1.0.1t 3 May 2016
  
  Schau mal, was das openssl 0.9.8k da liefert.
  
  Wenn der Server TLSv1.2 spricht, der ssl-Client aber nicht, stehen die Chancen wahrscheinlich schlecht, dass die beiden verschlüsselt kommunizieren.
  Ich gehe momentan einfach mal davon aus, dass die Perl-Module auf die Bibliothek des openssl zurückgreifen und damit auch nur die Möglichkeiten haben, die das openssl selber bietet.
  Last edited: 2017-03-20 21:11:04 +0100 (CET)
  meine Beiträge: I.d.R. alle Angaben ohne Gewähr und auf Linux abgestimmt!
  Die Sprache heisst Perl, nicht PERL. - Bitte Crossposts als solche kenntlich machen!
  - +2 replies
  - Gast Rolf Schaufelberger
    
    2017-03-20 22:09
    
    Ja, das klingt schon plausibel, AAABER:
    Warum geht es dann mit curl (auf dem gleichen Server, also auch mit openssl-09.8)? Das macht mich eben stutzig. Dann - soweit meine ich SSL verstanden zu haben - handeln Server und Client ja miteinander aus, wie sie sich verständigen können und das scheint ja dann curl geschickter zu tun.
    Ausserdem soll der Server auch TLSv1 unterstützen, und das sollte gehen.
    
    Wie kann man noch mehr Diagnose-Informationen herausbekommen?
    Ich hab's auch schon mit "openssl s_client -connect $url ..." versucht, bin aber noch nicht schlauer geworden.
    
    Rolf
    Last edited: 2017-03-20 22:25:00 +0100 (CET)
    - Linuxer
      
      2017-03-20 22:54
      
      User since
      2006-01-27
      3890 Artikel
      HausmeisterIn
      
      Da ich das verwendete System nicht kenne, kann ich Dir darauf keine Antwort geben.
      Allgemeine Fragen, die mir da einfallen, wären:
      Ist das curl wirklich dynamisch gelinkt oder hat es evtl. die SSL-Geschichten statisch eingebunden?
      Wenn dynamisch verlinkt, verwendet es die gleiche Bibliothek wie das openssl?
      
      Bei mir scheinen beide Programme und auch das Net::SSLeay-Modul die gleiche Bibliotheken zu nutzen:
      
      more (5.3kb)
      
      Hast Du schon mal versucht, mit dem openssl selber eine Verbindung aufzubaufen?
      edit: OK, hast Du anscheinend. Aber leider bleibt unklar, was dabei rauskam...
      
      Code: (dl )
      
      openssl s_client -connect SERVERNAME:PORT
      
      SERVERNAME:PORT musst Du durch Deine entsprechenden Werte ersetzen.
      
      Wenn das erfolgreich ist, solltest Du eine längere Ausgabe sehen, wenn die SSL-Verbindung erfolgreich aufgebaut wurde. Die Ausgabe bleibt augenscheinlich "hängen", weil dann der Webserver dahinter auf Input wartet. Mit CTRL+D kann man das in der Regel abbrechen.
      Oder man fordert einfach eine Seite an, in dem man den HTTP-Request manuell eintippt:
      
      Code: (dl )
      
      1 2
      
      GET / HTTP/1.1 host:SERVERNAME
      
      Zur Ausgabe: Neben der "Certificate chain" und dem empfangenen "Server certificate" wäre wohl das Ende der Ausgabe interessant:
      
      Code: (dl )
      
      1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28
      
      ... No client certificate CA names sent --- SSL handshake has read 5024 bytes and written 415 bytes --- New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384 Server public key is 2048 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE SSL-Session: Protocol : TLSv1.2 Cipher : ECDHE-RSA-AES256-GCM-SHA384 Session-ID: xxx Session-ID-ctx: Master-Key: xxx Key-Arg : None PSK identity: None PSK identity hint: None SRP username: None TLS session ticket lifetime hint: 300 (seconds) TLS session ticket: ... hexdump Start Time: 1490045650 Timeout : 300 (sec) Verify return code: 0 (ok) ---
      
      Last edited: 2017-03-20 22:56:02 +0100 (CET)
      meine Beiträge: I.d.R. alle Angaben ohne Gewähr und auf Linux abgestimmt!
      Die Sprache heisst Perl, nicht PERL. - Bitte Crossposts als solche kenntlich machen!
- +3 replies
- GwenDragon
  
  2017-03-21 14:54
  
  User since
  2005-01-17
  14746 Artikel
  Admin1
  
  Schon mal mit dem Perl-Programm analyze-ssl.pl nachgesehen was da kommt bei dem Server?
  die Drachin Gwen
  
  Meine Perl-Artikel · perldev – verschiedene Perl-Versionen unter Windows starten
  - +2 replies
  - Gast Rolf Schaufelberger
    
    2017-03-25 18:42
    
    So, anscheinend ist mein letztes Posting irgendwo verloren gegangen, daher nochmal kurz zusammengefasst: Das Problem konnte ich lösen, indem ich openssl-1.0.2 auf dem Server installiert und Net::SSLeay mit dieser Version neu compiliert habe. Warum aber curl mit openssl funktioniert hat, bleibt ein Rätsel.
    Rolf
    Last edited: 2017-03-25 21:26:21 +0100 (CET)
    - Gast wer
      
      2017-03-26 01:11
      
      curl kann je nach Konfiguration seine eigene Kopie von openssl benutzen. Ich glaube sogar das ist default so.
      Last edited: 2017-03-26 10:10:36 +0200 (CEST)

View all threads created 2017-03-20 08:50.